ARP攻击简述

sec-exp

入门贴，供入门用

1.欺骗服务器
告诉路由器，我要攻击的主机的mac地址，是我本机的地址，自然下回由路由器发给被攻击主机的数据包，我会收到
2.欺骗主机
告诉主机，路由器的mac地址，是我本机的mac地址，自然被攻击机器向外发送的数据包，就会发给我本机。
3.交换机欺骗
向外发送正常的路由器arp数据包，当然这种数据包对于主机和路由器都不算欺骗，“但是，但是”交换机可不知道，它可能也会误以为网关或路由器是不是换到我网线所连接的这个交换机接口上了，所以本机会收到，根本机毫无关系的数据包，即那些本来要发送给网关的数据包，达到监听的效果。

第三种发送也是最近刚刚弄明白的，一直困惑为什么会收到 mac和ip都跟自己无关的数据，而且网关ip也被静态绑定了，前几天突然明白了:
这个问题以前贴出来过，没人给解答:  。现在应该算是明白了，但第三种方法，毕竟同时存在两台相同的mac，不会监听到所有的数据包，所以通过数据包也不能完全判断远程ip的实际动作。

此贴主要为了给新手启发，如有错误之处，请高手不吝赐教啊。
是在看不懂的，先找几个arp欺骗软件，测试测试，其实不难的啊

[ 本帖最后由 sec-exp 于 2009-6-17 11:07 编辑 ]

pctemplar

嗯，不错！再巩固一下，呵呵！
不过，ARP现在似乎已经没有当初猖獗了！

只是一个神话

我怎么看不明白你所说的第三种情况是什么意思呢？

ARP攻击可以分为两大类，一类是欺骗式的攻击，就如你所说；还有一种是泛洪式的，就是太多ARP扫描。
从MAC地址上分也可以分为两大类，一类是真MAC地址的攻击，查找比较容易；一类是伪MAC地址的攻击，查找比较困难。

sec-exp

前两种欺骗方式，都可以改变数据包的走向，在交换模式下，接收到并非发向本机的数据包。
泛洪的arp，或者伪造mac地址这种攻击，并不能得到非本机的数据包，只是占用网络资源，不做讨论
第三种情况，应该算是交换机欺骗，因为交换机也有类似于cmd下arp -a看到的mac地址缓存，用来转发数据包，当然如果是静态的，则不存在攻击。如果是动态的，那它就会判断数据包或者arp协议的mac地址，用以更新这个arp表，就相当于同一台机器换到另一个接口上仍能连接。
所以，你如果伪造一些路由器的行为，例如发送路由器arp应答包，交换机可能会误以为网关换了交换机端口，短时间内会错发数据包。所以，就达到了改变数据包走向的目的。

只是一个神话

我想我理解你所说第三种情况的意思了。就是在交换机收到包更新错误端口地址表到下次收到包更新正常的端口地址表中间的时间里面，所有到路由器的包会发给欺骗主机，在欺骗主机网卡处于混杂模式下时就窃取到数据包了。

这个还真是存在的，但是如果我伪造的不是ARP包，而是其它数据包，交换机不是也会更新端口地址表？所以我觉得这种攻击可以是不基于ARP上的。

999toyota

第三种不是ARP攻击，是MAC攻击

最爱的人

谢谢楼主,学习了,支持一下

wbox

谢谢楼主！学习了！支持一下！

w070115230

有意思啊！！